Управление SELinux

Майоров Дмитрий Андреевич

Цель работы

Получить навыки работы с контекстом безопасности и политиками SELinux.

Выполнение лабораторной работы

Получаем полномочия администратора. Смотрим текущую информацию о SELinux. SELinux включен(enabled) и находится в принудительном режиме работы (enforcing). Тип политики: targeted. Конфигурационный режим: enforcing. Состояние политики: MS status не задан, deny_unknown разрешен. Проверка защиты памяти активна. Версия ядра политики: 33

Выполнение лабораторной работы

Смотрим, в каком режиме работает SELinux.Он раюотает в принудительном режиме. Изменяем режим работы на разрешающий.

Выполнение лабораторной работы

Открываем файл /etc/sysconfig/selinux для редактирования и устанавливаем следующий параметр. Перезагружаем систему

Выполнение лабораторной работы

Смотрим статус SELinux. Видим, что он отключен. Пробуем переключить режим работы. Система говорит, что SELInux отключен. Мы не можем переключаться между отключённым и принудительным режимом без перезагрузки системы

Выполнение лабораторной работы

Открываем файл /etc/sysconfig/selinux для редактирования и устанавливаем следующий параметр. Перезагружаем систему

Выполнение лабораторной работы

Смотрим текущую информацию о SELinux. Убеждаемся, что он работает в принудительном режиме

Выполнение лабораторной работы

Смотрм контекст безопасности файла /etc/hosts. Копируем его в домашний каталог. Проверяем контект файла. Параметр контекста изменился на admin_home_t

Выполнение лабораторной работы

Пытаемся перезаписать существующий файл hosts из домашнего каталога в каталог /etc. Убеждаемся, что тип контекста по-прежнему установлен на admin_home_t

Выполнение лабораторной работы

Исправляем контекст безопасности. Убеждаемся, что он изменился

Выполнение лабораторной работы

Для массового исправления контекста безопасности на файловой системе ввоодим следующую команду и перезагружаем систему. При перезагрузке смотрим загрузочные сообщения. Видим, что файловая система перемаркирована

Выполнение лабораторной работы

Устанавливаем необходимое программное обеспечение

Выполнение лабораторной работы

Создаем новое хранилище для файлов web-сервера. Создаем файл index.html

Выполнение лабораторной работы

Открываем этот файл для редактирования и помещаем туда следующий текст

Выполнение лабораторной работы

В файле /etc/httpd/conf/httpd.conf комментируем строку DocumentRoot “/var/www/html” и ниже добавляем строку DocumentRoot “/web”

Выполнение лабораторной работы

Также ниже комментируем раздел и добавляем другой раздел, определяющий правила доступа

Выполнение лабораторной работы

Запусткаем веб-сервер и службу httpd

Выполнение лабораторной работы

Открваем веб-сервер в текстовом браузере. Видим страницу REd Hat по умолчанию

Выполнение лабораторной работы

Применяем новую метку контекста к /web и восстанавливаем контекст безопастности

Выполнение лабораторной работы

Перезагружаем систему и снова обращаемся к веб серверу. Теперь видим там запись, которую мы оставляли в файле index.html

Выполнение лабораторной работы

Смотрим список переключателей SELinux для службы ftp

Выполнение лабораторной работы

Для службы ftpd_anon смотрим список переключателей с пояснением, за что отвечает каждый переключатель, включён он или выключен

Выполнение лабораторной работы

Изменяем текущее значение переключателя для службы ftpd_anon_write с off на on. Снова смотрим список переключателей для службы ftpd_anon. Смотрим список всех переключатателей

Выполнение лабораторной работы

Изменяем постоянное значение переключателя для службы ftpd_anon_write с off на on. Смотрим список переключателей. Видим, что переключатель включен

Выводы

Получены навыки работы с контекстом безопасности и политиками SELinux.